Я хотел бы преобразовать некоторые трассировки PCAP в формат Netflow для дальнейшего анализа с помощью инструментов netflow. Есть ли способ сделать это?
В частности, я хочу использовать инструмент «flow-export», чтобы извлечь некоторые интересующие поля из трассировки сетевого потока следующим образом:
$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace
В этом случае файл mynetflow.trace берется путем преобразования файла PCAP с помощью следующих команд:
$ nfcapd -p 12345 -l ./
$ softflowd -n localhost:12345 -r mytrace.pcap
Это создает трассировку сетевого потока, но она не может быть правильно использована функцией экспорта потока, поскольку она имеет неправильный формат. Я также попытался передать вывод следующей команды в потоковый экспорт следующим образом:
$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS
но вывод первой команды сгенерировал нулевые временные метки.
Любые идеи?
